针对iPhone用户的大规模网络钓鱼和重定向活动

释放双眼,带上耳机,听听看~!

快到十二点了,不排版了,看图就懂了

https://mediatrust.com/blog/payleak-3pc-pulitzer-prize-winning-newspaper-blocks-malicious-mobile-redirect

DSO称为PayLeak的恶意软件伪装成合法广告。当报纸或杂志访问者点击广告时,恶意软件将呼叫在中国注册的恶意域,并检查访问者的设备是否满足以下条件:

  • 无论是运动还是休息 

  • 无论是直立还是躺着

  • 使用的浏览器平台是否为以下任何一种:Linux x86_64,Win32或MacIntel

  • 存在特定的恶意软件检测技术

  • 无论该设备是Android还是iPhone

Android设备

如果设备是Android,则用户被重定向到网络钓鱼站点,祝贺用户赢得亚马逊礼品卡。

Apple设备

如果设备是iPhone,则代码会检查设备是否支持Apple Pay。它通过创建Apple Pay会话对象然后调用函数“canMakePayments”来执行此操作,该函数确定是否支持Apple Pay。如果是,代码将通过以下一系列步骤进行罕见的深入研究:

  • 用户会收到两个连续的弹出窗口:一个指示设备需要更新(参见图1),另一个指示Apple Pay应用程序需要更新(参见图2)。 

  • 与Apple Pay信用卡信息屏幕外观几乎相同的屏幕(参见图3)提示用户输入其信用卡详细信息。 

  • 恶意软件记录信用卡信息,设备信息,iOS版本,IP等,并将其发送回恶意命令和控制服务器。此信息可能会用于未来的中间人攻击。    这种详细的,多步骤的欺骗广泛使用的Apple Pay等数字钱包用户的方法是新的。以前确定的攻击方法涉及拦截Apple设备和Apple服务器之间的事务流量。使用广告来感染设备会让不良行为者更加努力:它扩大了攻击范围,使传统的反恶意软件解决方案和大多数商业拦截器更容易逃脱检测。 

在对在线报纸的访问者进行攻击前几天,DSO已经标记了恶意软件使用了团队在之前的恶意软件事件中检测到的混淆模式,并将其添加到The Media Trust的实时原始源恶意软件数据中。使用媒体信任的媒体过滤器,利用这些数据,客户端能够捕获恶意软件并阻止其在数字生态系统中执行。 

使用其他恶意软件阻止程序的其他客户端会立即收到攻击通知,因此他们可以反过来警告提供商恶意软件已经越过其阻止程序,并在其环境中终止恶意软件的来源。但是,具有较弱安全措施的目标站点(例如那些不监控其未经授权的代码的数字环境的站点)可能会冒泄漏其用户的敏感信息并使后者暴露于未来攻击的风险。

本文源自微信公众号:黑鸟

人已赞赏
安全工具

朝鲜APT组织lazarus的特马代码源头追溯

2019-10-16 10:45:16

安全工具

成人电影公司收购了色情界"维基百科",并火焚了所有硬盘数据

2019-10-16 10:45:21

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索